Para garantizar la seguridad todos tenemos que colaborar

Anuncio
Entrevista a Juan Luis Repiso, Vicepresidente y Director de Seguridad Corporativa de Airbus Group en España
“Para garantizar la seguridad todos
tenemos que colaborar y compartir
información de forma coordinada”
Juan Luis Repiso, ingeniero aeronáutico por la Universidad Politécnica de Madrid
y Coronel del Cuerpo de Ingenieros del Ejército del Aire, tras desempeñar
diferentes destinos relacionados con la seguridad e inteligencia, se incorporó en
2005 al Grupo Airbus en España.
A finales de febrero leíamos la noticia de que habéis
incrementado la producción de la exitosa familia
A320 de aviones comerciales para hacer frente a las
más de 11.500 unidades vendidas, de las que lleváis
entregadas más de la mitad. ¿Cuál es la clave del
éxito de estos modelos?
En el ámbito aeronáutico, uno de los factores que más
influye en el éxito de un modelo es el coste de operación
y la fiabilidad del avión. La familia A320 es muy fiable,
sobradamente probada, y con unos costes de operación
óptimos a lo largo de todo su ciclo de vida. Airbus ha
sabido vigilar la respuesta del cliente y adaptarse a sus
expectativas, adaptando sus planes a sus necesidades. Esta
es la clave del éxito de Airbus.
De hecho, en lo que está trabajando el Grupo, es en la
implantación de un modelo “Neo”, que es básicamente
la adaptación del modelo al siglo XXI, haciéndolo más
eficiente, con mejores motores y mejor aerodinámica.
Precisamente vuestros avances en investigación e
innovación en aviones más eficientes en consumo
os hace muy atractivos a vuestros clientes civiles, las
aerolíneas. El I+D+i no es algo que precisamente se
haga de un día para otro, ¿cómo protegéis vuestra
inversión en propiedad intelectual para evitar que
sea comprometida antes de que un proyecto termine
de ver la luz?
Existe especial protección para los entornos técnicos, lo
que llamamos las “joyas de la corona”, tanto a nivel de
seguridad física como lógica. Ahora bien, es importante
tener en cuenta que esta especial protección no puede
“En el ámbito aeronáutico, uno de
los factores que más influye en el
éxito de un modelo es el coste de
operación y la fiabilidad del avión”
limitar el funcionamiento del negocio, por lo que
ocasionalmente hay que considerar excepciones; pero
eso sí, siempre controladas.
Se persigue la correcta aplicación del control de acceso
del personal a la mínima cantidad de información
imprescindible para su trabajo (Need to Know). De esta
necesidad surgen sistemas dedicados y segregados con
características muy especiales y equipos confinados para
temas y personas muy concretos.
Esta cultura de seguridad está arraigada en la
organización y las personas que trabajan en los
diferentes proyectos observan de manera inherente a sus
labores del día a día estas medidas básicas de seguridad
y protección de la información.
Pocas organizaciones tienen en su estructura una
figura de responsable de seguridad integral de la
información, ¿por qué os planteasteis su creación?
¿qué cubre una figura como esta (Personas,
expatriados, diseños, etc.)? ¿qué servicios y funciones
prestáis al grupo?
En primer lugar, la existencia de la figura de un director
de seguridad integral – o lo que en el Grupo se llama
holistic security- es lo que dicta la lógica. La seguridad
debe entenderse como un elemento global de protección
de los activos de información. Tiene que haber una
cabeza visible que dé la cara ante la organización y las
autoridades. No es asumible que en una organización
haya seguridades paralelas, inconexas y descoordinadas.
Adicionalmente, e igualmente importante, es la manera
de cumplir los requisitos normativos y legales aplicables.
El Director de Seguridad se corresponde con la figura del
Jefe del Servicio de Protección que aparecía en la Orden
Ministerial Comunicada 17/2001, y que aún hoy día
conserva su sentido, e igualmente es lo que la reciente
Ley de Seguridad Privada 5/2014 requiere para una
empresa como la nuestra.
El Director de Seguridad es el único interlocutor
oficial con las Fuerzas y Cuerpos de Seguridad del
Estado (Ministerio del Interior), el Centro Nacional de
Inteligencia (Ministerio de Presidencia) y la Dirección
General de Armamento y Material (Ministerio de
Defensa).
Es igualmente el responsable último de todas las medidas
de protección de personal y activos de la empresa, que
incluyen edificios, instalaciones, maquinaria, información,
sistemas informáticos, productos etc. No obstante,
determinadas funciones –que no responsabilidades–
están delegadas en grupos y personas específicos
tanto pertenecientes al Departamento de Seguridad
Corporativa (control de accesos, programas
clasificados, relaciones gubernamentales, seguridad
de la información, gestión de crisis y seguridad contra
incendios), como a otras áreas (seguridad informática,
seguridad de producto, etc.) Junto con la cabeza, es
imprescindible que los especialistas de seguridad con
conocimiento del negocio y los técnicos de seguridad
existentes en el Grupo actúen bajo la coordinación del
Departamento de Seguridad Corporativa y mantengan
una relación de dependencia funcional y reporting hacia
él. Mantenemos esta estructura de trabajo con éxito
desde hace más de 7 años.
Al fin y al cabo, la gestión de la seguridad es como
gestionar una batalla, tiene que haber un responsable
para “ganar” o “perder” los conflictos y evitar que dichas
responsabilidades se diluyan. No sería concebible la
existencia y actuación descoordinada de “organizaciones
paralelas de seguridad”.
En ocasiones tendemos a pensar que los nuevos
riesgos asociados a las nuevas tecnologías (ciber
riesgos) nos quedan un poco lejos de los procesos
de negocio que gestionamos en las empresas de
fabricación. Pero, ¿cómo de relevantes son para
vosotros los ciber riesgos dentro de los riesgos de la
organización? ¿Cómo consideráis que puede afectar
a la imagen de Airbus si os vierais afectados por un
ciberataque?
Los ciber riesgos están muy presentes en nuestra
empresa. De hecho, ya en el año pasado, la
ciberseguridad era uno de los ocho objetivos dictados
por el presidente de la empresa, Tom Enders. No deja de
ser sorprendente que un objetivo así figure en la lista de
prioridades de una empresa industrial aeronáutica.
Somos muy conscientes de los riesgos económicos por
pérdida de contratos, espionaje industrial, sabotaje,
imagen, sanciones, descalificación… por eso ponemos
todo nuestro empeño en combatir las ciberamenazas.
Sirva el dato que en los últimos comités de seguridad
dedicamos el 90% del tiempo hablando sobre estos
riesgos.
Desde el punto de vista de vuestro negocio, ¿cuáles
son las amenazas, relacionadas con estos nuevos
riesgos, que más os preocupan? ¿Qué medidas
estáis introduciendo para hacer frente a las estas
nuevas amenazas?
Las amenazas más preocupantes son los potenciales
ataques dirigidos del tipo APT (Amenaza Persistente
Avanzada, Advanced Persistent Threat), que podrían
perseguir el espionaje industrial (información de I+D),
comercial (ofertas o contratos), información de personal.
Otras amenazas que nos preocupan son los ataques
de denegación de servicio (DoS) que puedan afectar
a nuestra interconexión con socios, subcontratistas o
clientes o ataques que podrían dar lugar a intrusión
o sabotaje en los sistemas de control industrial de
fabricación o a los sistemas financieros.
Respecto a las medidas existe un plan de mejora
constante de la ciberseguridad global que persigue la
instalación y mantenimiento de sistemas de protección
actuales, la segmentación adecuada de las redes
informáticas, centros de seguimiento y monitorización de
la seguridad, equipos de alerta temprana, de respuesta
de incidentes, gestión de crisis y, algo muy importante, la
interconexión e intercambio de información permanente
tanto dentro del grupo como de las Agencias de
Seguridad Nacionales de los países copartícipes.
Alrededor de Airbus hay un ecosistema de
proveedores y contratistas de todo tipo con los que
tenéis que compartir información, ¿cómo gestionáis
la cadena de proveedores, sobre todo desde el
punto de vista de la seguridad?
Nuestros socios y proveedores son de indudable
prestigio y están certificados adecuadamente para
operar en el sector. Respecto a las subcontratas, existe
distinta política en los sectores civil y militar. Mientras
que en el civil, el personal subcontratado accede desde
sus instalaciones y estas son objeto de auditorías
por parte de Airbus, en el militar se recurre a la
subcontratación in-situ, de modo que el personal opera
en nuestras instalaciones y está sujeto a la normativa y
control de seguridad de nuestra empresa.
¿Cómo de importante es el factor humano? ¿Cómo
hacemos partícipes a todos los miembros de la
organización de la importancia de la seguridad de la
información?
Como ya he comentado, el factor humano es un
elemento clave para nosotros. Estamos llevando a cabo
frecuentemente campañas de concienciación. Además,
en el sector militar, es muy frecuente la necesidad de
habilitaciones oficiales para trabajar, lo cual implica una
formación especial. A nivel de grupo, estamos realizando
jornadas monográficas para todos los empleados, con
charlas, talleres, etc., en lo que denominamos el Airbus
Security Day.
Por ejemplo damos charlas sobre tácticas de ingeniería
social a las secretarias de los directivos, para que estén
preparadas ante diferentes técnicas que las pueden
poner a prueba.
No obstante, la concienciación es como el derecho
natural, es decir, “yo te explico las cosas para que tú
comprendas cual es el modo de actuar razonable y
beneficioso para ti y para la organización”. Pero para que
las normas se apliquen, debe existir también un derecho
positivo, es decir, debe existir un régimen sancionador
que se ponga en práctica en caso de incumplimiento.
Hace unos meses conocíamos la noticia de un
cibersabotaje de una planta siderúrgica en Alemania
que ha supuesto una parada de su cadena de
producción. ¿Os planteáis el sabotaje de la cadena
de producción mediante un ciberataque?
“La gestión de la seguridad es
como gestionar una batalla,
tiene que haber un responsable
para ‘ganar’ o ‘perder’ los
conflictos y evitar que dichas
responsabilidades se diluyan”
Humanos, Comunicación, y yo mismo, que analizamos
cada situación, y decidimos el equipo de gestión de crisis
adecuado y si se realiza una gestión local o bien se escala.
Evidentemente, cada crisis involucra a diferentes equipos
expertos, pero la coordinación siempre parte del
mismo entorno. Ya hemos hablado de la necesidad de
la Seguridad Integral. En particular, para las amenazas
digitales existe un grupo trasnacional de respuesta a
incidentes que dispone de la adecuada capacitación y
experiencia. Pero como en cualquier entorno de guerra
– y la ciberguerra lo es-, el enemigo desarrolla unas
capacidades y nosotros tenemos que ser capaces de
conocer y aplicar las correspondientes contramedidas.
En Airbus realizamos simulacros de seguridad para
probar y entrenar nuestras capacidades de respuesta.
Por supuesto que nos planteamos la posibilidad de
sabotaje; y de muchos tipos, pero no vamos a dar
ideas… Si Seguridad no valora un riesgo comete un
error inadmisible.
Los riesgos son innumerables y hay que recoger todos
los posibles. Y el procedimiento para gestionarlos es en
esencia el estándar: un modelo de análisis que siempre
parte de una identificación de bienes y daños una
valoración del potencial impacto y de la probabilidad de
que ocurra, y consecuentemente, una decisión de actuar
para la atenuación del riesgo, para transferirlo si es
posible o para asumirlo. Lógicamente son los parámetros
económicos –retorno de la inversión en seguridad- los
que priman en ella.
En tu experiencia ¿cómo hay que plantear la gestión
de una crisis causada por una amenaza digital?
Un correcto procedimiento de gestión de crisis vale para
todo, y eso lo tenemos bien definido. Nosotros tenemos
un proceso de gestión de crisis, adaptado al Esquema
Nacional de Seguridad, y perfectamente instrumentado.
Se estructura en tres principios fundamentales: conocer
qué ha pasado, implantar una estructura que te permita
en un momento determinado tomar decisiones –con
gente que sepa lo que ha pasado y gente que pueda
decidir-, y finalmente, informar, tanto hacia arriba
como a los colaterales. El núcleo de la gestión de crisis
en España lo integramos los responsables de Recursos
En el ámbito informático la gestión de la crisis es más
técnica, pero en el momento en el que tienen impacto
aspectos no técnicos, se produce automáticamente la
activación de otros puntos del plan de gestión de crisis,
como por ejemplo los relacionados con la imagen de la
compañía.
Además de vuestra estructura para dar respuesta a
los riesgos de seguridad a los que estáis expuestos,
¿cómo de relevante crees que es la colaboración con
otras empresas de fabricación, organismos oficiales,
etc. para estar preparados ante las amenazas?
La colaboración es esencial, y sólo será eficaz si
está coordinada. Nosotros consideramos que otras
empresas, sean de nuestro sector o no, dentro de unos
márgenes de confianza, y aun siendo competidores, no
son el enemigo. Por supuesto, mucho menos lo es la
Administración. Todos tienen que colaborar y compartir
información.
Por tanto, es nuestra voluntad, compartir y recibir
información y ayuda porque el beneficio es para todos;
y así lo hacemos. Pero como comentaba, tiene que
ser bajo coordinación. Es ahí donde consideramos que
ese papel lo debe realizar un organismo oficial, que
actúe tutelando de manera neutral y que incluso pueda
conservar el anonimato de las fuentes de información
por cuestiones de sensibilidad, pero que a la vez sea
capaz de transferir los indicadores de los incidentes o la
experiencia al resto de la comunidad. La administración
pública debe ser, por tanto, el punto focal.
Descargar